AUF DIESER SEITE
RADIUS-Attribute für LLID-Vorauthentifizierungsanforderungen
Konfigurieren der LLID-Vorauthentifizierung (Logical Line Identification)
Konfigurieren eines Ports und eines Kennworts für LLID-Vorauthentifizierungsanforderungen
Verifizieren und Verwalten der LLID-Konfiguration vor der Authentifizierung
Identifizierung logischer RADIUS-Linien
Übersicht über RADIUS Logical Line Identifier (LLID)
Die Funktion zur logischen Leitungsidentifikation (LLID) hilft Service Providern, eine zuverlässige und aktuelle Kundendatenbank für diejenigen Teilnehmer zu pflegen, die häufig von einer physischen Leitung zur anderen wechseln. Die LLID wurde entwickelt, um dem Service Provider eine konfigurierbare Anruferstations-ID für die Teilnehmerzugangsleitung zur Verfügung zu stellen. Die ID der anrufenden Station wird aus dem physischen Leitungsstandort und den Informationen des Teilnehmerclients abgeleitet. Die von der Einrichtung des Service Providers abgeleiteten Leitungsinformationen sind für den Großhändler für die Zugangsleitung nicht geeignet, um den Besitz der Zugangsleitung zu verwalten, wenn die Teilnehmer häufig den physischen Standort wechseln. Die LLID-Funktion basiert auf einem virtuellen Port – der LLID – und nicht auf der vom Teilnehmer verwendeten physischen Leitung. Die LLID bietet AAA-gesteuertes Leitungsinformationsmanagement mit einem Service Provider (in der Regel einem Großhändler).
Die LLID ist eine alphanumerische Zeichenfolge, die auf dem Benutzernamen des Teilnehmers und der Leitungs-ID basiert. Die LLID identifiziert logisch die Teilnehmerleitung und wird der physischen Leitung des Teilnehmers in der Kundendatenbank des Service Providers zugeordnet. Wenn der Anwender an einen anderen Standort und eine andere physische Leitung wechselt, wird die Datenbank aktualisiert, um die LLID der neuen physischen Leitung zuzuordnen. Da die LLID des Abonnenten konstant bleibt, bietet es Service Providern ein sicheres und zuverlässiges Mittel, um Abonnenten zu verfolgen und eine genaue Kundendatenbank zu führen. Die Abonnentenverwaltung unterstützt die LLID-Funktion für PPP-Abonnenten über PPPoE, PPPoA und LAC.
Um einem Teilnehmer eine LLID zuzuweisen, gibt der Router zwei RADIUS-Zugriffsanforderungen aus. Bei der ersten Anforderung handelt es sich um eine Vorauthentifizierungsanforderung, die die LLID von einem RADIUS-Vorauthentifizierungsserver abruft. Bei der zweiten Anforderung handelt es sich um die Standardauthentifizierungsanforderung, die an den RADIUS-Authentifizierungsserver gesendet wird.
In der folgenden Abfolge von Schritten wird beschrieben, wie die Abonnentenverwaltung die LLID erhält und verwendet. Bei der Prozedur wird davon ausgegangen, dass die Vorauthentifizierung auf dem Router aktiviert ist und dass die RADIUS-Vorauthentifizierungs- und Authentifizierungsserver konfiguriert sind.
Der PPP-Abonnent sendet eine Authentifizierungsanforderungsnachricht an den Router.
Der Router sendet eine Access-Request-Nachricht an den RADIUS-Vorauthentifizierungsserver, um eine LLID für den Abonnenten zu erhalten.
Der Vorauthentifizierungsserver gibt die LLID im Attribut Calling-Station-Id (RADIUS-Attribut 31) in der Access-Accept-Nachricht an den Router zurück.
Anmerkung:Dieser Schritt umfasst eine nicht standardmäßige Verwendung des Attributs Calling-Station-Id. Dieses Attribut ist in der Regel in RADIUS-Anforderungsnachrichten vorhanden, z. B. in einer Zugriffsanforderung, nicht in Antwortnachrichten. Außerdem ignoriert der Router alle RADIUS-Attribute mit Ausnahme der Calling-Station-Id, die in der Access-Accept-Nachricht vor der Authentifizierung zurückgegeben werden. Darüber hinaus haben alle radius options auf dem Router konfigurierten Konfigurationen, z. B calling-station-id-format. , keine Auswirkungen auf das Attribut Calling-Station-Id in der Vorauthentifizierungsanforderung.
Der Router codiert die Calling-Station-Id (die LLID) in einer zweiten Access-Request-Nachricht und sendet die Nachricht an den RADIUS-Authentifizierungsserver. Diese Authentifizierungsanforderung ist die Standardverwendung des Attributs Calling-Station-Id.
Der RADIUS-Authentifizierungsserver gibt eine Access-Accept-Nachricht an den Router zurück. Die Access-Accept-Nachricht enthält Attribute für die Abonnentensitzung.
Anmerkung:Nachdem der vorab authentifizierte Abonnent erfolgreich vom RADIUS-Authentifizierungsserver authentifiziert wurde, enthalten alle nachfolgenden RADIUS-Anforderungsnachrichten, z. B. Accounting-Request-Nachrichten, die LLID im Attribut Calling-Station-Id.
Bei getunnelten PPP-Abonnenten kodiert der Router, der als L2TP Access Concentrator (LAC) fungiert, die LLID in Calling Number AVP (L2TP-Attribut 22) und sendet das Attribut in einem Incoming-Call-Request-Paket (ICRQ) an den L2TP-Netzwerkserver (LNS). Nach einer erfolgreichen Vorauthentifizierungsanforderung codiert der Router immer die LLID in der L2TP-Rufnummern-AVP.
RADIUS-Attribute für LLID-Vorauthentifizierungsanforderungen
Tabelle 1 listet die RADIUS-IETF-Attribute auf, die in einer Vorauthentifizierungsanforderung zum Abrufen der LLID eines Abonnenten verwendet werden, und beschreibt die Informationen, die in den Attributen enthalten sind. In einigen Fällen wird bei der Vorauthentifizierung ein Attribut für Informationen verwendet, das sich von der IETF-Beschreibung unterscheidet – die Tabelle gibt alle nicht standardmäßigen Verwendungen von RADIUS-Attributen an.
Attributnummer |
Attributname |
Beschreibung |
|---|---|---|
1 |
Benutzername |
(Nicht standardmäßige Verwendung von Attributen.) Identifizierende Informationen für den Benutzer, die mit der LLID verknüpft sind, im folgenden Format.
Beispiel:
Anmerkung:
Der Router entfernt alle dynamisch generierten Informationen aus dem User-Name-Attribut während der Vorauthentifizierung. |
2 |
Benutzer-Passwort |
(Nicht standardmäßige Verwendung von Attributen.) Passwort des Benutzers, der authentifiziert werden soll. Beispiel: Immer auf |
4 |
NAS-IP-Adresse |
IP-Adresse des Netzwerkzugangsservers (NAS), der die Authentifizierung des Benutzers anfordert Beispiel: |
5 |
NAS-Port |
Physische Portnummer des NAS, das den Benutzer authentifiziert. Wird immer als Bitfeld interpretiert |
6 |
Service-Typ |
Art der Dienstleistung, die der Benutzer angefordert hat, oder die Art der zu erbringenden Dienstleistung. Beispiel: |
61 |
NAS-Port-Typ |
Typ des physischen Ports, den das NAS zur Authentifizierung des Benutzers verwendet. Sie können die |
77
|
Connect-Info |
(Nicht standardmäßige Verwendung von Attributen.) Der Benutzername. Beispiel: |
87 |
NAS-Port-ID |
Textzeichenfolge, die die physische Schnittstelle des NAS identifiziert, die den Benutzer authentifiziert. Schließt alle dynamisch generierten Informationen ein. Beispiel: |
Konfigurieren der LLID-Vorauthentifizierung (Logical Line Identification)
Die Funktion zur logischen Leitungsidentifikation (LLID) ermöglicht es Service Providern, Teilnehmer auf der Grundlage eines virtuellen Ports – der LLID – zu verfolgen, anstatt auf der Grundlage des vom Teilnehmer verwendeten physischen Ports. Die LLID wird von einem RADIUS-Vorauthentifizierungsserver zugewiesen, den Sie in einem Zugriffsprofil konfigurieren.
So konfigurieren Sie den Router so, dass er die Vorauthentifizierung für die LLID-Funktion unterstützt:
Sie können die Vorauthentifizierungsanweisungen in diesem Verfahren nicht konfigurieren, wenn Sie die radius attributes exclude Anweisung so konfiguriert haben, dass das Attribut Calling-Station-ID aus RADIUS-Zugriffsanforderungsnachrichten ausgeschlossen wird.
Geben Sie das Zugriffsprofil an, das Sie für die Unterstützung der Vorauthentifizierung für Abonnenten verwenden möchten.
[edit]user@host# edit access profile profile-nameGeben Sie die Reihenfolge an, in der der Router die unterstützten Vorauthentifizierungsmethoden verwendet. radius ist die einzige unterstützte Authentifizierungsmethode.
[edit access profile profile-name]user@host# set preauthentication-order radiusGeben Sie an, dass Sie die RADIUS-Unterstützung konfigurieren möchten.
[edit access profile profile-name]user@host# edit radiusGeben Sie die IP-Adresse des RADIUS-Servers an, der für die Vorauthentifizierung verwendet wird.
[edit access profile profile-name radius]user@host# set preauthentication-server 192.168.100.10Anmerkung:Die Vorauthentifizierungsfunktion verwendet die und Parameter, die
retrytimeoutfür den RADIUS-Authentifizierungsserver konfiguriert sind.(Optional) Zeigen Sie AAA-Statistiken zur Vorauthentifizierung an.
user@host>
show network-access aaa statistics preauthenticationPreauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(Optional) Überprüfen Sie die Konfiguration des RADIUS-Vorauthentifizierungsservers.
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
Konfigurieren eines Ports und eines Kennworts für LLID-Vorauthentifizierungsanforderungen
Sie können einen Router konfigurieren, der als RADIUS-Client fungiert, um einen RADIUS-Server für Authentifizierungs- und Vorauthentifizierungsanforderungen an zwei verschiedenen UDP-Ports und unter Verwendung unterschiedlicher geheimer Kennwörter zu kontaktieren. Ähnlich wie bei der Konfiguration der Portnummern für Authentifizierungs- und Kontoführungsanforderungen können Sie eine eindeutige Portnummer definieren, die der Router verwendet, um den RADIUS-Server für LLID-Vorauthentifizierungsanforderungen (Logical Line Identification) zu kontaktieren. Sie können auch ein eindeutiges Kennwort für Anforderungen vor der Authentifizierung definieren. Wenn Sie keinen separaten UDP-Port oder geheimen Schlüssel für die Vorauthentifizierung konfigurieren, wird derselbe UDP-Port und geheime Schlüssel verwendet, den Sie für Authentifizierungsnachrichten konfigurieren.
Um eine eindeutige UDP-Portnummer zu konfigurieren, die für die Kontaktaufnahme mit dem RADIUS-Server für Vorauthentifizierungsanforderungen verwendet werden soll, fügen Sie die preauthentication-port port-number Anweisung auf der Hierarchieebene oder [edit access radius-server server-address] [edit access profile profile-name radius-server server-address] ein.
So geben Sie den UDP-Port für alle Zugriffsprofile an:
[edit access] radius-server server-address { preauthentication-port port-number; }So geben Sie den UDP-Port für ein bestimmtes Zugriffsprofil an:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
Um das Kennwort zu konfigurieren, das für die Verbindung mit dem RADIUS-Vorauthentifizierungsserver verwendet werden soll, fügen Sie die preauthentication-secret password Anweisung auf deredit access radius-server server-address] [ oder [edit access profile profile-name radius-server server-address] Hierarchieebene ein.
So legen Sie das Kennwort für alle Zugriffsprofile fest:
[edit access] radius-server server-address { preauthentication-secret password; }So legen Sie das Kennwort für ein bestimmtes Zugriffsprofil fest:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }
Verifizieren und Verwalten der LLID-Konfiguration vor der Authentifizierung
Zweck
Zeigen Sie Statistiken und Konfigurationsinformationen an, die sich auf die Vorauthentifizierung der logischen Leitungsidentifikation (LLID) beziehen.
Aktion
So zeigen Sie LLID-Statistiken vor der Authentifizierung an:
user@host> show network-access aaa statistics preauthentication
So zeigen Sie Informationen zu Servern vor der Authentifizierung an:
user@host> show network-access aaa radius-servers